Türkiye’deki Android Kullanıcıları Svpeng’in Hedefinde

Kaspersky Lab araştırmacıları 2017 Temmuz ayında, Svpeng’in bu sistem özelliğini kötüye kullanarak cihazlarda kullanılan uygulamalarda yazılan metinleri çalabildiğini ve ayrıca ek bir takım hakları kendisinde toplayabildiğini ortaya çıkardı.

Truva atı, bir takım zararlı web siteleri aracılığıyla, sahte bir flash oynatıcısı olarak yayılıyor. Çalışmaya başladığında erişilebilirlik hizmetlerini kullanmak üzere izin istiyor. Bu özelliği kötüye kullanan Svpeng, başka uygulamaların kullanıcı arayüzlerine erişerek her tuş hareketi sırasında bir ekran görüntüsü alıyor ve bankacılık bilgileri gibi verileri kaydediyor. Yönetici haklarını da alabilen Truva atı, kendisini diğer uygulamaların üzerine yerleştirebiliyor. Bu yeteneği özellikle önemli, çünkü bankacılık uygulamaları gibi uygulamalar kendileri kullanılırken ekran görüntüsü alınmasına izin vermiyor. Böyle durumlarda Svpeng, söz konusu uygulamanın üzerine kendi oltalama penceresini geçiriyor. Araştırmacılar, Svpeng’in kullandığı ve Avrupa’nın önde gelen bankalarının bankacılık uygulamalarını hedefleyen oltalama adresleri içeren bir liste ortaya çıkardı.

Dahası, Svpeng kendisini varsayılan SMS uygulaması olarak yükleyerek SMS gönderip alabiliyor, aramalar yapabiliyor, adres defterini okuyabiliyor, yönetici haklarının elinden alınmasını engelleyebiliyor ve dolayısıyla cihazdan silinemiyor. Truva atının zararlı teknikleri, Android OS’un en son sürümü yüklenerek tamamen güncellenmiş cihazlarda bile çalışıyor.

Henüz çok yayılmamış olan Truva atının toplam kaydedilmiş saldırı miktarı yüksek değil, ancak Türkiye, şimdiye kadar en çok saldırının tespit edildiği ülkeler arasında, Rusya (%29) ve Almanya’dan (%27) sonra saldırıların %15’in görüldüğü ülke olarak ikinci sırada bulunuyor. Türkiye’nin ardından Polonya (%6) ve Fransa (%3) geliyor.

Kaspersky Lab Kıdemli Zararlı Yazılım Analisti Roman Unuchek “Tuş kaydetmek ve erişilebilirlik hizmetlerini kötüye kullanmak, mobil bankacılığı hedefleyen zararlı yazılımlar için yeni bir gelişme ve bu noktada Svpeng’in öncülük yaptığını görmeye şaşırmadık. Svpeng zararlı yazılım ailesi yenilikçi olmasıyla biliniyor ve bu da onu en tehlikeliler sınıfına sokuyor. SMS bankacılığını ilk hedefleyen, uygulamaların üzerine oltalama sayfaları yerleştirerek bilgi çalan ve cihazları kilitleyerek para talep eden hep Svpeng oldu. Bu sebeple, karşılaştığımız her yeni sürümü gözlemleyip analiz etmek çok önemli” dedi.

Kaspersky Lab, kullanıcılara cihazlarına Kaspersky Internet Security for Android gibi güvenilir bir güvenlik çözümü yüklemelerini, saygın şirketler tarafından geliştirilmiş uygulamalar kullanmalarını ve şüpheli görünen veya kaynağı belirsiz hiçbir şeyi cihazlarına indirmemelerini tavsiye ediyor. Uzmanlara göre, uygulamalara ek haklar tanırken de dikkatli olmak gerekiyor.

Tüm Kaspersky Lab ürünleri, söz konusu Truva atını Trojan-Banker.AndroidOS.Svpeng.ae adıyla tespit ediyor.

www.kaspersky.com/tr